ארבעת האיומים השכיחים על אתרי וורדפרס ב2024 והדרכים למנוע אותם
עו"ד אמציה שיינפלד,
מצפיה בסדרות ב- Netflix, עולה כי האקרים הם או גיקים עם הפרעות אישיות ושיער שמנוני (שגרים במרתף מעופש ומכורים לגיימינג ופיצה) או ההיפך הגמור – קולים, הורסים או הורסות, מצחיקים, ונוטפי כריזמה.
מה שכן, חנונים או מגניבים, הם תמיד תמיד מתוחכמים, יצירתיים, ובעלי מוח חריף.
אבל, ובלי להעליב את קהילת ההאקרים ולהטיל ספק ביכולותיהם, מיליוני אתרי WordPress נפרצים מידי שנה לא בזכות מוח חריף או כישורים מיוחדים, אלא באמצעות ניצול חולשות מוכרות שבקלות ניתן למנוע.
העובדה שהן קיימות, לפעמים במשך שנים, קשורה הרבה יותר לטבע האנושי והאמונה של המותקפים ש"יהיה בסדר" והרבה פחות לתחכום של התוקפים.
להלן 4 מהדרכים השכיחות לפרוץ לאתר שלכם והדרך הפשוטה להתמודד עם הדבר:
תוספים לא מעודכנים או פרוצים
משעמם לחזור על זה בכל הזדמנות, אך אחת הסיבות הנפוצות ביותר לפריצות לאתרי וורדפרס, הינה תוספים לא מעודכנים או פרוצים ולפי מחקרים למעלה מ90% מהאתרים שנפרצו הכילו תוספים כאלה.
הדרך להתמודד אינה מצריכה כישורים מיוחדים אלא הקפדה על שימוש בתוספים ממקורות מהימנים ועדכון שוטף לגרסאות האחרונות.
חברות אחסון מסוימות כמו למשל Kinsta, uPress, ו- SiteGroundגם מציעות עזרה בתחום הזה (ביופרס זה אפילו חלק מהשירות הרגיל).
תבניות (Themes) לא מעודכנות או פרוצות
הנטייה שלא "לגעת" בתבנית (כי עיצוב האתר עלול "להישבר"; כי רבנו עם בונה האתרים והוא לא עונה לנו לטלפון; כי המתכנתת דורשת שכר על 8 שעות עבודה; ועוד ועוד), שכיחה מאד, אך מסוכנת.
כמו בתוספים, תבניות לא מעודכנות חושפות את האתר למתקפות ופריצות. אין ברירה – לעדכן.
Brute Force
שם קצת מפוצץ למתקפות מאד נפוצות ופשוטות בהן מנסה התוקף לנחש את הסיסמא לאתר או לחשבון באמצעות הרצת שילובים רבים, והרשת משופעת בכלים זמינים המאפשרים לממש מתקפות שכאלה בצורה אוטומטית (Hydra, John the riper, ,Madusa Patator ואחרים).
שימוש בסיסמא חזקה, ייחודית, המורכבת מאותיות, מספרים וסמלים (אותה נזכור דרך שימוש במנהל סיסמאות למשל) ימנע חלק גדול מאותן מתקפות, ומומלץ להוסיף שירות WAF הולם של חברות כמו למשל Cloudflare או F5, שיספק שכבת הגנה נוספת באמצעות חסימת פעילויות חשודות וזדוניות.
DDoS – מתקפות מניעת שירות
לא מדובר בפריצה, אלא בשיבוש פעילות האתר לרבות הפלתו באמצעות הצפתו בפניות בהיקף שרוחב הפס אינו יכול להכיל.
הפופולריות הגדולה של מתקפות שכאלה נעוצה בקלות היחסית והעלות הנמוכה בהן ניתן לממשן.
מתקפות קטנות יחסית עשויות לעלות פחות מ10-20 דולר לשעה, ועבור כמה מאות דולרים כבר אפשר "לרכוש" מתקפות מתקדמות המופעלות לאורך זמן רב יחסית, ועם כמות תעבורה אדירה.
המסקנה: אם מישהו מאד רוצה לשבש את פעילות האתר שלכם, זה אפילו לא יקר.
החדשות הטובות הינן שהפתרונות פשוטים למדי, ובדרך כלל יעילים. שירותים דוגמת Cloudflare מבוססים על פיזור עצום של שרתים ברחבי העולם באמצעותן הם מתמודדים עם אותן מתקפות. חברות אחסון כמו Flywheel, WP engine ו- uPress מאפשרות אינטגרציה עם שירותים שכאלה בצורה פשוטה ונגישה.
אז מה היה לנו?
שום דבר מקורי, אקזוטי או מתוחכם, אך בהחלט דרכים יעילות ובדוקות לייצר נזק ואפילו להחריב אתרים.
מיליוני אתרים הנפרצים כל שנה – מדברים בעד עצמם. לנהל עסק אינו דבר של מה בכך, וההוצאות תמיד גדולות מידי, אולם ניסיון לחסוך כסף קטן יחסית על דברים בסיסיים אלו, עלול להביא בקלות להפסדים של כסף גדול.
אל תהפכו להיות חלק מהסטטיסטיקה – וודאו שהאתר מעודכן ומוגן.